CÓMO ELIMINO TROYANO AGENT.CD.1 EN WIN 2K PROF?

Estado
Cerrado para nuevas respuestas

Eclesiastico_4_31

Nuevo Miembro
Miembro
#1
:D

Hola!

Un saludo a to2!

Mi problemática es que, no he podido eliminar un parásito de software, que en el antivir personal lo designa como Agent.Cd.1

Ya ejecuté varias utilidades, y nada. El informe del Hijackthis es el siguiente (gracias de antemano):

Logfile of HijackThis v1.98.2

Scan saved at 04:57:11 p.m., on 08/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\explorer.scf:rbwgu

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Vexira Antivirus\VAGUARD.EXE

C:\Archivos de programa\Vexira Antivirus\VAWUPSRV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE

C:\WINNT\system32\internat.exe

C:\Documents and Settings\Administrador\Mis documentos\Temporal\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {88D27CB6-10AC-B013-4E22-6CC50CE9EE13} - C:\WINNT\winfi32.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VAGCtrl] C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE /min

O4 - HKLM\..\Run: [VAWUpd32] "C:\Archivos de programa\Vexira Antivirus\VAWUPD32.EXE" /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchmiracle.com

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC...UTH_1022_ES.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...llInstaller.exe

O16 - DPF: {66446E32-5EB9-4FEC-A06D-F3D88E2D5947} - http://rtb.accesorapido.com/downloader.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/Se:)ownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

 

alnitak

Ex-Admin
Miembro
#2
Cheka estas:

O2 - BHO: (no name) - {88D27CB6-10AC-B013-4E22-6CC50CE9EE13} - C:\WINNT\winfi32.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC...UTH_1022_ES.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...llInstaller.exe

O16 - DPF: {66446E32-5EB9-4FEC-A06D-F3D88E2D5947} - http://rtb.accesorapido.com/downloader.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/Se:)ownloader.cab

y dale a fix

Postea otro log
 

Eclesiastico_4_31

Nuevo Miembro
Miembro
#3
GRACIAS ....

PERO TEMO DECIRTE QUE, AÚN ME SIGUE GENERANDO PROBLEMAS. AHORA MARCA UN PARÁSITO STROYIN

Logfile of HijackThis v1.98.2

Scan saved at 05:47:27 p.m., on 08/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\explorer.scf:rbwgu

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Vexira Antivirus\VAGUARD.EXE

C:\Archivos de programa\Vexira Antivirus\VAWUPSRV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE

C:\WINNT\system32\internat.exe

C:\Documents and Settings\Administrador\Mis documentos\Temporal\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {F80E427A-7D6B-183E-8A5B-EDE16CC5ABB5} - C:\WINNT\system32\addqu.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VAGCtrl] C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE /min

O4 - HKLM\..\Run: [VAWUpd32] "C:\Archivos de programa\Vexira Antivirus\VAWUPD32.EXE" /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchmiracle.com

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll
 

alnitak

Ex-Admin
Miembro
#4
Se ha reinstalado el bho y ahora la dll se llama addqu.dll

Repite los pasos anteriores y elimina los archivos temporales inmediatamente despues.

Colocame por favor el log del startup list que puedes tomar con el mismo hijackThis:

Boton config>>Mis tools>>marca list empty sections y dale a generate startuplist log
 

Eclesiastico_4_31

Nuevo Miembro
Miembro
#5
Te agradezco muchísimo la ayuda ALNITAK.

Ya hice lo que me escribiste; envío un nuevo log:

StartupList report, 09/09/2004, 08:11:07 a.m.

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Administrador\Mis documentos\Temporal\hijackthis\HijackThis.EXE

Detected: Windows 2000 SP4 (WinNT 5.00.2195)

Detected: Internet Explorer v5.00 SP4 (5.00.2920.0000)

* Using default options

==================================================

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\explorer.scf:rbwgu

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Vexira Antivirus\VAGUARD.EXE

C:\Archivos de programa\Vexira Antivirus\VAWUPSRV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE

C:\WINNT\system32\internat.exe

C:\Documents and Settings\Administrador\Mis documentos\Temporal\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon

LoadQM = loadqm.exe

QuickTime Task = "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

VAGCtrl = C:\Archivos de programa\Vexira Antivirus\VAGNT.EXE /min

VAWUpd32 = "C:\Archivos de programa\Vexira Antivirus\VAWUPD32.EXE" /min

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Task Scheduler jobs:

HP DArC Task #Hewlett-Packard#hp psc 2400 series#1088347898.job

WebReg 20040627165452.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]

InProcServer32 = C:\WINNT\system32\Macromed\Director\SwDir.dll

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MSN Chat Control 4.5]

InProcServer32 = C:\WINNT\Downloaded Program Files\MSNChat45.ocx

CODEBASE = http://chat.msn.com/bin/msnchat45.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll

WebCheck: C:\WINNT\System32\webcheck.dll

SysTray: stobject.dll

--------------------------------------------------

End of report, 4,412 bytes

Report generated in 0.061 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

alnitak

Ex-Admin
Miembro
#6
El antivir te sigue detectando el malware ?

No hay información sobre lo que quiere indicar el antivir con ese nombre, buscando en google vi que lo ha agregado a su database el 3 de Septiembre pero no da informaciones sobre el.

Se me hace en ralidad bastante raro que el antivir logre detectar un adware, la mayoria de los antivirus ni se enteran, es posible que con este nombre el antivir identifique algo completamente distinto.

Tal vez deberias instalar algún otro antivirus mas solido y realizar un escaneo, en la ultima prueba que he realizado con antivir no llegaba a detectar ni la mitad de los malwares que detectaba por ejemplo Norton.

Pra remover adwares y spywares es mejor utilizar Ad Aware.

Sobre tu log anterior se me olvidó comentarte sobre estas entradas:

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchmiracle.com

Etán en tu trusted zone y lucen un poco sospechosas, si no las has metido tu remuevelas.
 

Eclesiastico_4_31

Nuevo Miembro
Miembro
#7
Nuevamente agradezco tu valioso tiempo y gran apoyo, alnitak.

Al parecer, tendré que formatear ... ya que no se deja eliminar el parásito ...

He probado con:

Ad-aware

Spybot

Bazooka

CWShredder

Stinger

Vexira Antivirus

Norton Antivirus (2004)

Con el Vexira lo identificó como PMS/stryIn/program.

Reemplazé el antivirus. Instalé nuevamente AntiVir Personal del día 09/09/2004 -el cual, por cierto, me ha funcionado bastante bien en la PC que me asignaron-, en la PC afectada, y retomó el nombre de TR/Agent.CD.1, además del de PMS/stryIn/program; los fuí borrando.

Reinicié. Y el problema sigue ....

Parece q, voy a iniciar la cuenta regresiva para la operación asesina ... :( ni mo2 ...

Transcribo otro log generado por HijackThis:

Logfile of HijackThis v1.98.2

Scan saved at 10:32:57 a.m., on 09/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\AVPersonal\AVGUARD.EXE

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\explorer.scf:rbwgu

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AVPersonal\AVGNT.EXE

C:\WINNT\system32\internat.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Documents and Settings\Administrador\Mis documentos\Temporal\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {E8984ABD-CC42-86C7-72F1-0EE2CDF8EC0C} - C:\WINNT\system32\ipyj32.dll (file missing)

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{7D979252-F5F2-4EC4-AF24-5AE558418CAB}: NameServer = 192.168.254.1

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll
 
A

Arwing

Guest
#8
A mi me parece raro este proceso:

C:\WINNT\explorer.scf:rbwgu
Me parece ya haberlo visto antes o al menos uno parecido.

Busca ese archivo y bórralo a ver si con eso te mejora.

PD, no vaya a ser que me equivoque, si lo encuentras mételo en un archivo ZIP o algún otro formato de archivos comprimidos, y después lo borras, ves cómo trabaja el sistema, y después puedes borrar el archivo o restaurarlo según funcione.

Arwing
 

Eclesiastico_4_31

Nuevo Miembro
Miembro
#9
Al parecer, ya funciona.

Eso si, de cuando en cuando detectaba el TOFGER.BI.2 en el archivo explorer.scf

Lo respaldé, borré, reinicié el equipo y .... anda en observación, ya no ha salido el aviso de la detección.

P.D. Desde consola de recuperación ejecuté el comando FIXBOOT C: para que amarre la solución .... espero sea para estabilidad.

Saludos y agradezco muy pero muy sinceramente toda la ayuda y disponibilidad de tiempo para un servidor.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie